当一台文件SERVER的硬件需要更换时,重装系统时,那么多的共享文件和权限的分配,身为网管的你该怎么办?所以我绐你个解决的方法往下看!!!
目的:把DC上的共享文件夹SHARE 迁移到另一台服务器,并保证共享文件夹的权限不变!
实验拓扑:
这里由DC充当文件SERVER 另一台充当迁移到的SERVER 。
实验步骤:1)我们先在DC上创建两个用户:STUY和STUY1
2)建立共享文件夹SHARE并设好权限。STUY可读STUY1可写。
3)权限分配好后我们用域管理员登陆USER PC ,并安装FSMT软件(NEXT---INSTALL)。
如图所示安装成功。
4)我们运行FSMW 也就是第2个,点NEW―――――》NEXT――》出现下图
这个是日志文件以及它的保存路径点NEXT 谈出警告,我们不管它点”是”
5)这里我们没有DFS 所以取消掉
6)注意了!!这里是我们共享文件迁移后要保存的路径,我把它放到E盘。
然后我们就完成了准备工作!
7)接下来才是迁移的开始
IP。点OK!
8)这时你会看到下图所示的,选择要迁移的共享文件,
9)一切OK后我们点左下角的CONTINUE
当你在次点CONTIINUE的时候,会出现下面的对话框,我们点是1
10)Cexx 看到下图就说明心经OK了
11)你看它会以SERVER的IP 或FQDN 命名个文件夹里面就是迁移的SHARE (看不到共享的小手刷新下就OK了)
12)再看下权限
好了大功告成!!!有问题Q我:645877153 闪了~
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
服务器文件共享权限设置方法说明 随着企业的发展,利用计算机进行信息化管理变得越来越重要。员工进行计算机协同工作时,很多文件、资料需要共享。然而普通的共享方式对于很多信息是不安全的,因此我们需要对共享的权限进行控制,让不同身份的用户对文件夹、文件具有不同的访问权限。 下面就是设置权限访问的具体实施方法: 一、需求分析 1、为每个部门建立一个文件夹,文件夹允许对应部门的人员进行完全权限的访问,领导可进行只读访问,其他人员不能访问。 2、建立“常用软件”文件夹,计算机管理人员可以进行完全权限访问,其他人员进行只读访问。 3、建立“公司发文”文件夹,发文人员进行读写访问,其他人员进行只读访问。 4、建立“中转站”文件夹,用于人员之间的资料互换,所有人员具有读写权限。 5、建立“常用报表”文件夹,其中设立各类报表的子文件夹,并对子文件夹设立权限。 需要修改其中内容的人员具有读写权限,只需查看的人员具有只读权限,其他人员无权访问。(具体人员和相关访问权限另附) 二、设备配置 1、购买一台服务器计算机,并建好局域网。 2、服务器上安装Windows服务器操作系统,如Windows Server 2003。 3、安装文件服务器,文件服务器是Windows Server的一个组件。 4、服务器上至少有一个NTFS格式的磁盘分区,用于存放共享的资源。 三、文件夹建立 1、在NTFS格式的分区上建立一个文件夹作为共享根目录。 2、在根目录下建立各个分目录文件夹。如常用软件、常用报表、中转站、人力部、技术部、进出口部等。 3、在分目录下建立子目录文件夹。如常用报表下的生产日报表、船期表、纸样图等。 四、建立用户和组
额外域控制器的升级—夺权 几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。经过同事的指点,我慢慢的开始小心翼翼的进行工作。工作完成的很顺利,但也有些不足的地方,印象很是深刻,觉得有必要将它留在51cto上与大家分享。下面是环境图: 环境并不复杂,域控系统为windows 2008 R2 ,DNS、DHCP服务寄存在域控上。也就是说这并不单单是迁移域控的事情了,还要将DNS、DHCP服务同时迁移过去。呵呵,不过这都不是难题,我马上为大家呈现解决办法。 解决这些问题的办法我简单做了一下汇总:
1、升级新服务器为额外域控制器,同时添加DNS备份,添加DHCP角色。 2、转移域控五大角色。 3、卸载域控。 4、断开域控DHCP服务,授权新域控的DHCP服务,防止两个服务出现冲突。 完成这几步后就可以大胆的将旧的服务器关闭掉,原先的备份服务器就已经完全作为新的域控制器工作了。 首先将新服务器作为域控的备份服务器加入https://www.doczj.com/doc/d61163058.html,域,过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。添加DHCP角色,但不要做任何配置,因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP配置。这里不做过多的拗述了。 作为域控制器是因为它兼有五大角色,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机,五大角色是域控特有的,其各自的属性特征这里不做阐述。首先我们登录域控服务器,打开服务器管理台,选择“角色”,找到“AD用户和计算机”,邮件服务器属性,“更改域控制器”如下图:选择将要继承域控职责的BDC作为当前服务器。
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/d61163058.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/d61163058.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/d61163058.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
域管理常见故障维护手册北京昆仑联通发展科技有限公司2013-02-20
目录 1 域常见问题 (4) 1.1 无法正常加入到域 (4) 1.2 加入域时提示“不能访问网络位置”的错误解决方法 (4) 1.3 加入域“找不到网络路径”解决方法 (4) 1.4 重装系统之后加入域提示已经存在的解决方法 (5) 1.5 在域用户下,打开IE浏览器出现“Windows无法访问指定设备、路径或文件。您可 能没有合适的权限访问这个项目” (5) 1.6 域用户中,无法打开硬盘分区 (5) 1.7 加入域时报错,输入完帐户管理员用户和密码后报告“RPC出错”? (6) 1.8 加入域时报错,输入完帐户管理员用户和密码后报告“帐户锁定”? (6) 1.9 加入域时报错,输入完帐户管理员用户和密码后报告“连接超时”? (6) 1.10加入域时报错,输入完帐户管理员用户和密码后报告“系统错误”? (7) 1.11第一次登陆域的时候,机器长时间停留在“创建域列表”? (7) 1.12拷贝配置文件时发现配置文件十分大(> 1G)? (7) 1.13拷贝配置文件时显示“无法删除XX配置文件”? (7) 1.14拷贝配置文件时,出现WINDOW提示框“XX文件无法正常拷贝至XXX文件夹中”? (7) 1.15拷贝配置文件时,WINDOWS报错“无法访问”? (7) 1.16加入域后,域用户无法在本地登陆,WINDOWS报错“不允许交互式登陆”? (8) 1.17加入域后,域用户无法查看本地时间,WINDOWS报错“您没有权限查看和修改本 地时间”? (8) 1.18加入域后用户报告Autocad无法使用? (8) 1.19第一次更改域用户密码的时候报错? (10) 1.20加入域后导致某些系统无法使用? (10) 1.21 Isass.exe系统错误—系统资源不够,无法完成API (10) 1.22 xp_sp2关机菜单弹出超慢 (11) 1.23 在登录界面,输入密码后提示“安全日志已满,请用管理员帐号登陆”,无法进入 系统 (11)
win2003+exchange2003同域迁移到win2008r2+exchange2010 目的是将原来部署在win2003上的exchange2003服务器中的用户和邮件全部迁移到新建立的win2008r2服务器上的exchange2010中。 按照 安装win2008r2---加入域---取代原来的win2003域控---IIS---证书服务器---证书认证---部署exchange2010---迁移用户的步骤执行。 旧服务器已经运行了3年,因为近期陆续出现严重错误,最后决定进行迁移。决定首先使用Acronis Backup & Recovery 10 Server for Windows将旧服务器整体制作成为一个vm虚拟机并运行,然后再在虚拟机环境下安装一个win2008r2新服务器加入旧服务器域,迁移域控后删除旧服务器的域控,在新服务器中部署IIS、证书服务器、exchange2010,然后将所有用户和邮箱迁移到新服务器中,删除旧服务器的exchange2003,最后用Acronis Backup & Recovery 10 Server for Windows将建成的新服务器win2008r2+exchange2010制作成映像文件,裸机还原到一个新硬盘上,将硬盘安装到真实服务器,投入使用。 部署环境: 旧服务器: omoserver,win2003sp2,本身为域控AD(https://www.doczj.com/doc/d61163058.html,),已经部署有exchange2003,ip 地址为192.168.1.91 管理员administrator 密码omoxxxx0) 新服务器: omoserver2,win2008r2,将成为新域控AD(https://www.doczj.com/doc/d61163058.html,),最后准备部署exchange2010,ip 地址为192.168.1.61 管理员administrator 密码xitongguanliyuanxxxx0) 部署环境为vmware7虚拟机。安装过程中的存档都是指虚拟机快照。 虚拟机内备份工具Acronis Backup & Recovery 10 Server for Windows 本来想要做win2003+exchange2003跨域迁移到win2008r2+exchange2010中的,屡次试验未能成功,最后才改为同域迁移。 一、首先安装win2008R2原版企业版 1、用户名administrator(系统默认) 密码xitongguanliyuanxxxx0) 然后存档。 2、SK_Patch_v1_R2_Final,此处略去2个字XX 3、update升级,安装所有补丁。 4、修改计算机名omoserver2
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
关于windows7域帐户不能重新生成配置文件解决方法 我的情况是这样的:我的帐户是加了公司域的,我怀疑自己的帐户有问题,于是就把此帐户(暂把有问题帐户a)置为olda.我重新以a帐户登录域,不能在C盘users下面产生a用户文件。是加载的临时配置文件,如下图1。XP应该是可以重新产生a用户文件的。 图1 我在网上捣腾了半天,最终在微软官网上找到解决办法。下面说说解决方法吧 1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2.开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ProfileList 图2 单击注册表左边窗口如上图2标示①,通过右边标示②可以看出①对应的是哪个用户。依次单击左边选择你要删除的帐户,右键选择删除。 到此,所有准备工作完毕,再登录域用户a。即可产生用户配置文件,在C:/users/。图1报错提示消失。我的问题解决,希望对大家有用。
将一台win7系统的电脑退出域并将其域用户的配置文件删除,重新加入域后,用该域账号登陆后,提示“您已经使用临时配置文件登陆*****logoff或restart后保存在桌面的文件将丢失”。 解决方法:1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList找到S-1-*****.bak项将其删除。 3.重启计算机,用域账号登陆
Windows域迁移方法 1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后,安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中,右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中,键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向“所有任务”,然后单击“操作主机”。 5. 单击其中要改的选项卡,然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中,右键单击“Active Directory 架构”,然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中,右键单击“Active Directory 架构”,然后单击“操作主机”。
简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一,由于域控制器的种种优势,当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时,种种问题也相应出现,对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生,网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几,我们在此便讨论一下这个问题。 说明:根据上图可知A为B的主域控,在此我们只给大家作了一个模拟环境,实际当中,主域和子域可以不在一个网段内,也可以分布在用VPN相连的Intranet内,其原理是一样的。我们在此仅对A域控下的B域控做迁移工作,迁移过程为:首先B域控迁移到准备替换DC的PC上,down掉B域控,使得客户端工作无影响,再次对B主机作重灌windows 2003 server ,并替换PC的DC,这个过程中要求对客户端无任何影响。以下为操作步骤: 步骤1.备份DC的安装
(1)选用一台PC,安装windows 2003 server,设置IP为192.168.10.2;主机名为adbak,重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上,用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS:解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2,以及各个主机记录是否解析正常 (5)Active Directory站点和服务,设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下,键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入:ntdsutil-roles-connections-connections to server https://www.doczj.com/doc/d61163058.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明):[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize
Windows AD域用户属性对照表(综合整理) “常规”标签 姓Sn 名Givename 英文缩写Initials 显示名称displayName 描述Description 办公室physicalDeliveryOfficeName 电话号码telephoneNumber 电话号码:其它otherTelephone 多个以英文分号分隔 电子邮件Mail 网页wWWHomePage 网页:其它url 多个以英文分号分隔 “地址”标签 国家/地区 C 如:中国CN,英国GB 省/自治区St 市/县L 街道streetAddress 邮政信箱postOfficeBox 邮政编码postalCode “帐户”标签 用户登录名userPrincipalName 形如: 用户登录名(以前版本)sAMAccountName 形如:S1 登录时间logonHours 登录到userWorkstations 多个以英文逗号分隔 用户帐户控制userAccountControl (启用:512,禁用:514 -- 512 + 2,密码永不过期:66048 -- 65536 + 512 ,用户禁用:66050 -- 65536 + 512 + 2) 帐户过期accountExpires “配置文件”标签 配置文件路径profilePath 登录脚本scriptPath 主文件夹:本地路径homeDirectory 连接homeDrive 到homeDirectory “电话”标签 家庭电话homePhone (若是其它,在前面加other。) 寻呼机Pager 如:otherhomePhone。 移动电话mobile 若多个以英文分号分隔。 传真FacsimileTelephoneNumber ip电话ipPhone 注释Info “单位”标签 职务Title 部门Department 公司Company
共享文件夹权限设置问题 WINDOWS-2003-SERVER共享设置很罗唆,罗索的代价是换来点点安全,个人认为WINDOWS、NETWARE、UNIX、LINUX这些服务器操作系统里还是UNIX、LINUX最好,安全简单易于操作。WIN2003SERVER用在普通服务器和简单管理上还是不错的,毕竟是窗口界面,易于操作。写这些很麻烦,光截图就够我受的,希望能给与你一些帮助,共同交流学习!以下灌水贴多,不要怪罪! (图片截取、软件环境来自Windows 2003 Server企业正版用户,XP来自正版专业版) W2003设置共享文件有4种方式,你可以看系统帮助文件有介绍的,在索引里键入“共享”查看相关主题,里面介绍了3种方法,文件夹直接设置,计算机管理共享设置,命令行设置。我贴些图是介绍文件夹共享设置和计算机管理设置。 首先你要开启部分网络共享服务,在管理工具的服务项目里找。安全设置服务里可以设置网络登陆用户帐号保留的时间长短, 先开始设置文件共享。 假设你的公司有老板,部门经理,普通人员访问共享,老板可以查看所有共享并修改,部门经理查看所有共享但不能修改,普通人员只能查看部门制定的文件,怎样让他们有不同权限和级别,关键看你对他们用户权限的定义。 假设老板取用户名为ADMIN,部门经理取名为:EASY,普通人员取名为:TEMP, 那么首先打开【开始】【管理工具】【计算机管理】中的【本地用户和组】,一一将这些用户添加进去,记住这三个用户均要设置密码,并且密码均不一样。 当ADMIN EASY TEMP 帐号都添加进去后,记住把用户列表里的Guest Everyone用户停用了,就是右键点击属性,把账户已禁用这个复选框打上勾。 当所有用户都已添加完成时,然后就是给这些用户赋予权限了,赋予权限的不同,所操作共享的级别也不同。 点击计算机管理左边目录树的组文件夹,在右边窗口空白处点击右键,选择添加新组。 设定一个组名成为KAKA,然后再点击界面上的【添加】按钮,弹出对话框,点击【高级】,弹出对话框,点击【立即查找】,这是现面就显示出刚才你添加的哪几个用户了,双击admin,返回了上一个对话框,这是你看到ADMIN用户已添加到白色的添加框里了,再点击【高级】【立即查找】,双击easy,返回上一个对话框,再点击【高级】【立即查找】,双击temp,返回上一个对话框,如图所示,这时候这三个用户就都添加进去了,点击【确定】按钮,点击下个对话框里的【创建】按钮!点击【关闭】OK! 然后你在点击目录树用户文件夹,接着返回用户对话框里,右键点击TEMP用户属性,点【隶属于】标签,发现temp用户隶属于两个组,删处Users这个隶属组,让TEMP用户直隶属于KAKA这个组,依次改了ADMIN,EASY两个用户的隶属,让这三个用户只属于KAKA组,为什么这样做,是因为如果他们属于两个组,当你设置某些文件夹共享属性时,当他们无法以KAKA组用户成员查看时,却可以换身份以其他组成员身份进入,这样你设置的共享权限密码也就失去作用了。 至此,这三个用户身份的界定以完成。开始设置他们在共享文件夹中担当的角色和级别了 假设我们在C盘有一个wmpub文件夹要设置在网络中共享,让大家都可以看到,该文件夹里面又有三个文件夹,一个caiwu一个tools一个wmiislog,3文件夹让经理和老板看到,并且老板可以修改任何一个文件
活动目录的用户迁移 目的:将A域中的用户迁移到B域(目标域)中 要点: 1.需要有活动目录迁移工具ADMT 2.安装support工具 3.安装ADMINPAK 4.需要提升林功能级别为Windows 2003模式 5.在两个域的DNS上建立对方域的辅助区域 6.创建林双向信任关系 5.迁移时是在目标域上操作的 步骤: 1.安装活动目录迁移工具ADMT 在微软的官方网站上有下载,目前最新版本是ADMT 3.0。要安装在目标域中,在本实验中就是安装在B域的DC上。 2.提升林功能级别为Windows Server 2003模式 提升林功能级别的目的是为了建立林范围的双向信任关系。 首先,想提升林功能级别为Windows Server 2003模式,必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式 在DC上,打开AD用户和计算机,鼠标右键域选项 选提升域功能级别
选Windows 2000纯模式,点提升,然后确定 然后,打开AD域和信任关系,鼠标右键AD域和信任关系 选提升林功能级别为Windows Server 2003模式
将林功能级别提升为Windows Server 2003模式后,林中的域功能级别也相应的被提升为Windows Server 2003模式。只有将域功能级别提升为Windows 2000纯模式或Windows server 2003模式,才能将林功能级别提升为Windows server 2003模式。 上图为提升完林功能级别为Windows Server 2003后,域功能级别也被提升为Windows Server 2003模式了。 注意的是:提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。而且,提升林的功能级别的目的是为了建立林范围的信任关系。 3.在两个域的DNS上各建立对方域的辅助区域 在DC上打开DNS,开始-运行里输入dnsmgmt.msc,如下图
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
使用ADMT跨域迁移域账号和计算机 说明:当我们的网络范围比较大的时候,会出现员工工作调离的情况,此时往往会牵涉到跨域 的用户和计算机迁移。 环境: (1) https://www.doczj.com/doc/d61163058.html,和https://www.doczj.com/doc/d61163058.html,两个域,分属于不同的林 (2) test--b域有用户test-4和计算机test-4 (3) 需要将https://www.doczj.com/doc/d61163058.html,域用户jtest-4和计算机test-4迁移到https://www.doczj.com/doc/d61163058.html,域控中 前提条件: https://www.doczj.com/doc/d61163058.html, 和https://www.doczj.com/doc/d61163058.html,两个域相互信任 上一节谈到域信任的相关注意事项,接下来我们共同探讨一下使用ADMT工具跨域迁移域账 号和计算机的信息。 1、 ADMT工具的介绍 Active DirectoryTM迁移工具 (ADMT) 提供了一个方便、可靠和快捷的方法,从 Windows NT 迁移到 Windows 2000 Server Active Directory 服务。您还可以使用 ADMT 重构 Windows 2000 Active Directory 域。在开始迁移操作前,此工具可帮助系统管理员诊断任何可能的问题。随后,基于任务的向导就会允许您迁移用户、组和计算机,设置正确的文件权限以及迁移Microsoft Exchange Server 邮箱。在迁移前后,您可以使用此工具的报表功能,评估迁移所 带来的影响。 在很多情况下,如果出现问题,您可以使用回滚功能,自动恢复原来的结构。此工具还提供对 并行域的支持,所以您可以在部署 Microsoft Windows 2000 操作系统的同时,保持现有的Microsoft Windows NT 4.0 操作系统。 优势 ADMT 提供一种有效的工具,简化了用户、计算机和组向一个新域迁移的过程。同时,ADMT 具有很大的灵活性,每个组织均可根据需要使用它实现迁移过程。使用这一功能强大的工具, 您可以完成: 从 Windows NT 迁移。您可以使用 ADMT 从 Windows NT 迁移到 Windows 2000。在此迁移 过程中,您可受益于 Active Directory 引入的一些重要功能,其中包括: 改进的可扩展性。有了 Active Directory 林目录中改进的可扩展性(可以有数百万个对象), 您可以将当前的 Windows NT 域重新配置为数量更少、容量更大的 Windows 2000 Active Directory 域。简化域结构(通常简化为一个域)也使用户、组和组策略的管理更加方便。 管理委派。通过将 Windows NT 资源域合并到 Active Directory 组织单元 (OU) 中,您可以将 对特定 OU 的管理控制委派给仅有部分域权限的管理员。 信任简化。如果当前域结构需要复杂的信任关系网,通过使用 Windows 2000 上提供的双向可传递的信任关系,重新规划以使用较少的信任,您就会从中大为受益。
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.doczj.com/doc/d61163058.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
ADMT3.1快速迁移域用户账户和组[为企业维护windows server 2008 系列十四] 作者:宋杨日期:2010-04-21 在windows server 2008 的AD维护工作中,我们可能需要将当前域的用户账户和组转移到另外一个域中(这个动作我们称之为迁移)。 在雅利安星际疫苗接种公司工作的windows 网络管理员号称不重疫苗也能顶的灵灵狗同志,正在为一件棘手的工作事件发愁。 雅利安公司因为研制出可以成功抵御十全星际流感的疫苗,在整个银河系名声大震,巴斯股(3009年最火爆的星际股市)也一路狂涨。同时,兼并了太阳系的喜马拉雅驴友公司。 喜马拉雅公司的精英研发部门“珠穆朗玛二部”也被收编进了雅利安公司的研发部。因为所有的资源管理都是基于活动目录的,所以灵灵狗同志需要将“珠穆朗玛二部”的所有员工账户和组迁移转移到雅利安公司的域下。 在查询了无所不知的位于雅利安星球的知识古树后,灵灵狗拨通了远在银河系另一端的地球村的AD 客户支持部的售后电话。 按照客服妹妹的指导,灵灵狗使用Hyper-V3009快速的搭建起了虚拟的评估环境。具体如下:
灵灵狗同志看完客服妹妹同步过来的的指导文档后很顺利的使用域管理员在喜马拉雅公司的https://www.doczj.com/doc/d61163058.html,域上登录了。 打开“Active dircetory 域和信任关系”,可以看到两个域,现在要把属于https://www.doczj.com/doc/d61163058.html,的域用户账户和组(原喜马拉雅公司)移动到https://www.doczj.com/doc/d61163058.html,(雅利安公司) 具体的账户可以通过下图看到,在“_Demo”OU 中有user1 、manager 两个用户和group组,其中user1属于group组。
原文地址:如何将本地用户配置文件更改为域用户漫游作者:kevin 1.先讲讲直接新建域用户,在DC中设置用户漫游; 2.再讲,如果原来用户是本地用户,如何将原有的本地用户的配置文件让她成为漫游用户,配置文件也漫游; 3.跟大家讲讲如何让本地用户配置文件迁移为域用户配置文件,即本来有一用户abc为本地用户,现在该电脑加入了域,域中有一用户abc,然后电脑要用abc 用户登陆到域,而用户配置文件使用本地的abc配置文件; 一,在DC中设置用户漫游 实验环境使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图 2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。
3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看 初次登陆之后,我们注销,这样,本地的配置文件,就会自动保存到服务器上对应的文件夹。 回到服务器上我们会看到生成好多文件,刚才这里面还是空的